Tegnapra is jutott egy jó kis Kaspersky-leleplezés. Ahogy a hírekben nevezik, a „moszkvai központú biztonsági cég” most azt derítette ki, hogy talán már 1996. óta, de 2001-től biztosan folytat támadást egy csoport, melyet a Kaspersky Lab Equation Group néven emleget.

A Reuters azonban kevésbé szemérmes. A hírügynökség szerint az NSA keze lehet a kémprogramok mögött. Erre utal többe között az, hogy a Kaspersky kutatói hasonlóságot véltek felfedezni a kémprogramok és a hírhedt Stuxnet között – utóbbit az iráni atomprogram tönkretételére fejlesztették ki az amerikai kormányzat hathatós támogatásával. Erre utaltak a hírügynökségnek nyilatkozó források is, bár az NSA nem volt hajlandó kommentálni a Reuters értesüléseit.

Merevlemezek firmware-ébe rejtették

Az Equation Group-féle támadás meglehetősen kiterjedt. Legjobban Afganisztán, India, Irán, Kína, Mali, Oroszország, Pakisztán és Szíria fertőzött, de érintett például az Egyesült Államok, Európában pedig Belgium, Egyesült Királyság, Franciaország, Németország és Svájc. Emellett  több ázsiai és afrikai országban is megtalálták a kémprogramot, például Brazíliában, Dél-Afrikában, az Egyesült Arab Emirátusokban, Hongkongban, Irakban vagy Szingapúrban is. Elsősorban állami és katonai rendszerekben, médiavállalatoknál, valamint távközlési vállalatoknál, bankoknál, energiaipari vállalatoknál, nukleáris kutató intézeteknél találták meg a fertőzés nyomait. De így támadtak például különböző szélsőséges iszlamista szervezeteket is.

A kémprogramot a merevlemezek firmware-jében rejtették el kifinomult módszerekkel. Ezért is történhetett meg, hogy legalább másfél évtizede működhetett zavartalanul a spyware. Mivel ugyanis a károkozó észervétlen maradt, minden gépindiláskor újra tudott fertőzni.

Ki a hunyó?

Felmerült ugyanakkor, hogy egy ilyen kémprogram elhelyezése elképzelhetetlen a merevlemez-gyártók aktív közreműködése nélkül. Ráadásul szinte minden jelentősebb gyártó érintett az ügyben, ugyanis például a Western Digital, a Seagate, a Toshiba, az IBM, a Micron és a Samsung firmware-ében is megtalálták a károkozót.

A Reuters megkeresett néhány gyártót. A Micron, a Seagate és a WD egyértelműen tagadta, hogy tudomása lenne a kémprogramról, míg a Samsung és a Toshiba nem kívánt nyilatkozni a témában, ahogy az IBM-től sem kapott választ a hírügynökség.

Ugyanakkor van itt némi ellentmondás. Nehéz ugyanis úgy módosítani egy firmware-t – állítják szakértők – hogy csak nyilvánosan hozzáférhető információkra támaszkodnak. Sőt Costin Raiu, a Kaspersky kutatója egyenesen úgy fogalmaz, hogy a kémprogramok fejlesztőinek egyenesen hozzáférése lehetett a firmware-ek forráskódjához. A WD egyébként tagadta, hogy átadta volna a firmware-e forráskódját állami szerveknek, a Seagate szóvivője pedig azt hangsúlyozta, hogy figyelnek a szoftvereik biztonságára, és védik szoftvereiket az illetéktelen hozzáférés vagy például a reverse engineering technikák ellen.

Ugyanakkor volt hírszerzők szerint az NSA könnyedén hozzájuthatott a firmware-ekhez forráskódjához, mivel az amerikai kormány bekérheti azokat az olyan cégektől, melyek biztonsági szempontból különösen érzékenynek számító állami szerveknek szállítanak.

Az Equation Group működésének részletes technikai elemzését egy kattintásnyira lehet elolvasni.